GDPR Learning Hub

Menu
  • Tag quizzer
  • Download vejledninger
  • Køb kurser
  • Køb skabeloner
  • GDPR-kurser er under opbygning

Artikel 17 i GDPR

Ret til sletning

Retten til sletning af personoplysninger betyder, at registrerede kan anmode en virksomhed om at slette deres personoplysninger, som virksomheden behandler. Den registreredes ret til sletning af personoplysninger kaldes også “retten til at blive glemt”.

Ret til sletning af registrerede

Databeskyttelsesforordningens artikel 17 regulerer denne ret. Dette er en af de otte (8) grundlæggende rettigheder, som registrerede har i henhold til GDPR. 

Anonymisere personoplysninger i stedet for at slette dem

En virksomhed kan dog vælge at anonymisere personoplysningerne i stedet for at slette dem. GDPR dækker ikke anonymiserede personoplysninger. Behandlingen af personoplysninger i forbindelse med selve anonymiseringsprocessen er imidlertid omfattet af GDPR. 

Personoplysninger, der bliver anonymiserede, bliver kun almindelige “data”. De er ikke længere “personoplysninger”, da de ikke længere kan knyttes til en fysisk levende person. Vær opmærksom på, at anonymisering og pseudonymisering (en form for afidentifikation) ikke er det samme. Pseudonymiserede personoplysninger betragtes stadig som personoplysninger og er underlagt GDPR.

What breaches of the GDPR can lead to an administrative fine?

Selskabet skal informere om sletningen til tredjeparter, der har fået adgang til personoplysningerne.

Når en virksomhed sletter personoplysninger efter anmodning fra en registreret, skal virksomheden også informere om sletningen. Virksomheden skal informere enhver tredjepart, som den har delt personoplysningerne med. Dette er betinget af, at det er muligt og ikke indebærer en byrdefuld indsats at gennemføre. 

Desuden bør virksomheden underrette den registrerede om, at sletningen er afsluttet. Desuden har den registrerede ret til at vide, til hvilke tredjeparter personoplysningerne er blevet videregivet. 

Når en virksomhed kan opbevare personoplysninger på trods af den registreredes anmodning om sletning

Der er visse situationer, hvor en virksomhed ikke behøver at slette personoplysninger, selv om den registrerede anmoder herom. Her er eksempler på undtagelser fra, hvornår retten til sletning af personoplysninger ikke gælder: 

Ytringsfrihed

Hvad angår ytringsfriheden.

Lovpligtig pligt

Hvis der er en juridisk forpligtelse, betyder det, at virksomheden skal behandle personoplysningerne for at overholde loven.

Almennyttige hensyn

Når behandlingen af personoplysninger sker i samfundets interesse.

Folkesundhedsrelaterede

Hvis behandlingen af personoplysninger vedrører en samfundsinteresse i relation til folkesundheden.

Arkiveringsformål

Når behandlingen finder sted med henblik på arkivering.

Videnskabelige eller historiske forskningsformål

Om behandlingen sker til videnskabelige eller historiske forskningsformål.

Retslige krav

Når en virksomhed gemmer personoplysninger for at forsvare et retskrav.

Når en virksomhed skal slette personoplysningerne efter anmodning fra den registrerede

Her er nogle eksempler på, hvornår en virksomhed skal slette personoplysninger efter anmodning fra den registrerede. Bemærk venligst, at dette er betinget af, at ingen af ovenstående undtagelser finder anvendelse. I henhold til retten til sletning af personoplysninger i GDPR skal virksomheden slette personoplysningerne, hvis:

  • Virksomheden har ikke længere brug for personoplysningerne til det formål, hvortil de blev indsamlet. 
  • Den registrerede har givet sit samtykke, som vedkommende trækker tilbage Dette gælder, hvis virksomheden ikke har andet retsgrundlag for at fortsætte behandlingen. 
  • Personoplysningerne behandles med henblik på direkte markedsføring, som den registrerede gør indsigelse mod. 
  • Behandlingen er i strid med gældende lovgivning. 

Etablere interne procedurer for korrekt sletning af personoplysninger i henhold til GDPR

I henhold til den generelle regel i GDPR skal virksomheder slette personoplysninger, der ikke længere er nødvendige. Derfor bør virksomheder regelmæssigt slette personoplysninger. Det er vigtigt at fastlægge interne procedurer for sletning og anonymisering af personoplysninger. På denne måde kan medarbejderne have retningslinjer, der skal følges for at sikre overholdelse af GDPR med hensyn til dette. 

Virksomheden kan f.eks. fastsætte visse forud fastsatte dage i det år, hvor sletningen af personoplysninger skal finde sted. Personoplysninger findes også mange forskellige steder. Som i e-mails, dokumenter, regnskabsmateriale, digitale lagerpladser og systemer mv Derfor er det godt at notere alle lagerpladser i et register. Dette vil gøre det lettere for virksomhedens medarbejdere at holde styr på, hvor personoplysninger opstår, og gøre det lettere at foretage de nødvendige sletninger.

Virksomheder, der ikke har slettet personoplysninger efter anmodning, har modtaget en irettesættelse

Den svenske databeskyttelsesmyndighed (IMY) udstedte en irettesættelse til en virksomhed. Grunden til dette var, at virksomheden ikke slettede personoplysninger efter anmodning fra en registreret. Desuden gav virksomheden ukorrekte oplysninger til den registrerede, idet den hævdede, at personoplysningerne var blevet slettet. 

Flere rettigheder i henhold til GDPR

Ret til begrænsning af behandling af personoplysninger

I henhold til GDPR har registrerede ret til at anmode om, at virksomheden begrænser behandlingen af deres personoplysninger. Retten gælder i visse tilfælde og kombineres ofte med en anmodning om berigtigelse af personoplysninger. Når en virksomhed skal opfylde retten til begrænsning, skal virksomheden markere personoplysningerne. Formålet med mærkningen er at sikre, at de kun behandles til det definerede formål. 

Vil du lære mere?

Læs mere
Scroll to Top